4.2 Ausführen einer Ereignissuche

Benutzer haben die Möglichkeit, einfache und erweiterte Suchvorgänge auszuführen.

4.2.1 Basissuche

Eine Basissuche wird für alle Ereignisfelder in Tabelle 4-1 ausgeführt. Zu einigen Grundsuchen gehört Folgendes:

  • Root

  • 127.0.0.1

  • Sperren*

  • driverset0

HINWEIS:Falls die Zeit zwischen dem Endbenutzer-Computer und dem Identity Audit-Server nicht synchronisiert ist (die Zeiteinstellung des einen Computers geht beispielsweise 25 Minuten nach), erhalten Sie unter Umständen unerwartete Suchergebnisse. Suchen wie Letzte 1 Stunde oder Letzte 24 Stunden basieren auf der Zeiteinstellung des Endbenutzer-Computers.

  1. Klicken Sie links auf den Link Suchen.

    Identity Audit ist so konfiguriert, dass beim ersten Klicken des Benutzers auf den Link Suche eine Standardsuche für Nicht-Systemereignisse mit einem Schweregrad von 3 bis 5 ausgeführt wird. Anderenfalls wird standardmäßig nach dem letzten vom Benutzer eingegebenen Suchbegriff gesucht.

  2. Geben Sie für einen anderen Suchtyp einen Suchbegriff in das Suchfeld ein, z. B. Admin). Die Suche unterscheidet nicht zwischen Groß- und Kleinschreibung.

  3. Wählen Sie einen Zeitabschnitt aus, in dem die Suche durchgeführt werden soll. Die meisten Zeiteinstellungen sind selbsterklärend; standardmäßig ist Die letzten 30 Tage festgelegt.

    • Mithilfe der Option Benutzerdefiniert können Sie für eine Abfrage ein Start- und ein Enddatum sowie eine Uhrzeit auswählen. Das Anfangsdatum muss vor dem Enddatum liegen und die Zeit is based.

    • Mithilfe der Option Jederzeit werden alle Daten in der Datenbank durchsucht.

  4. Wählen Sie Systemereignisse einbeziehen, um Ereignisse einzubeziehen, die durch Systemoperationen von Identity Audit generiert wurden.

  5. Mit der Option Nach Zeit sortieren können Sie die Daten beginnend mit dem zuletzt aufgetretenen Ereignis sortieren.

    HINWEIS:Das Sortieren nach Zeit dauert länger als das Sortieren nach Relevanz, welches die Standardeinstellung ist.

  6. Klicken Sie auf Suchen.

    Alle Felder im Index werden nach dem entsprechenden Text durchsucht. Ein sich drehendes Symbol gibt an, dass die Suche ausgeführt wird.

    Die Ereigniszusammenfassungen werden angezeigt.

4.2.2 Erweiterte Suche

Bei einer erweiterten Suche wird nach einem Wert in mindestens einem bestimmten Ereignisfeld gesucht. Die Kriterien der erweiterten Suche basieren auf den Kurznamen der einzelnen Ereignisfelder sowie der Suchlogik für den Index. In der folgenden Tabelle werden die Felder beschrieben, die Kurznamen für die erweiterte Suche genannt und es wird angegeben, ob die Felder in der Basisansicht bzw. der Detailansicht für Ereignisse angezeigt werden.

Verwenden Sie für die Suche nach einem Wert in einem bestimmten Feld den Kurznamen des Feldes (weitere Informationen siehe Tabelle 4-1), einen Punkt und den Wert. Um beispielsweise nach einem Authentifizierungsversuch von Benutzer2 zu suchen, geben Sie den folgenden Text in das Suchfeld ein:

  • evt:authentication AND sun:user2

  • pn:NMAS AND sev:5

  • sip:123.45.67.89 AND evt:“Set Password”

Mehrere erweiterte Suchkriterien können mithilfe der folgenden Booleschen Operatoren kombiniert werden:

  • UND (Großschreibung beachten)

  • ODER (Großschreibung beachten)

  • NICHT (Großschreibung beachten; kann nicht als einziges Suchkriterium verwendet werden)

  • +

  • -

Sonderzeichen müssen durch das Symbol \ ersetzt werden:

+ - && || ! ( ) { } [ ] ^ " ~ * ? : \

Die erweiterten Suchkriterien sind den Suchkriterien für das Open Source-Paket Apache Lucene nachgebildet. Weitere Details zu den Suchkriterien finden Sie im Internet unter Lucene Query Parser Syntax.